Кібератакуючи, ймовірно, підтримувані російським урядом зловмисники зламали численні значущі поштові сервери по всьому світу, скориставшись вразливостями XSS, які були одними з найпоширеніших у минулі десятиліття.
XSS, або крос-сайтове скриптування, виникає через помилки програмування в програмному забезпеченні вебсерверів. Коли ці вразливості експлуатуються, зловмисники отримують можливість виконувати шкідливий код в браузерах користувачів, які відвідують уражений сайт. Перший раз про XSS заговорили у 2005 році, коли з’явився черв’як Samy Worm, який вивів з ладу MySpace, додавши більше мільйона друзів до профілю користувача на ім’я Самі. Після цього атаки через XSS стали надзвичайно поширеними протягом наступного десятиліття, але в останній час їх кількість зменшилась, хоча цей тип атак продовжує існувати.
Просто додайте JavaScript
У четвер компанія з кібербезпеки ESET повідомила, що група хакерів Sednit, яка підтримується Кремлем і також відома як APT28, Fancy Bear, Forest Blizzard, і Sofacy, отримала доступ до цінних електронних рахунків, використовуючи вразливості XSS у програмному забезпеченні поштових серверів від чотирьох різних виробників. Цими пакетами є: Roundcube, MDaemon, Horde і Zimbra.
Останні атаки були спрямовані на поштові сервери, що використовуються оборонними підрядниками в Болгарії та Румунії, деякі з яких виробляють зброю часів Радянського Союзу для використання в Україні, яка протистоїть вторгненню з боку Росії. Також під загрозу потрапили урядові організації в цих країнах. Інші цілі включали уряди в Африці, Європейському Союзі та Південній Америці.
Oперація RoundPress, як її назвала ESET, здійснювалася за допомогою спаму, в якому були приховані експлойти XSS. У деяких HTML-елементах електронних листів містився експлойт XSS. У 2023 році ESET зафіксувала, як Sednit використовував вразливість CVE-2023-43770, яка вже була виправлена в Roundcube. Через рік ESET спостерігала, як Sednit використовував інші вразливості XSS у Horde, MDaemon і Zimbra. Одна з вразливостей MDaemon, яка була виправлена, була нульовим днем на момент її експлуатації Sednit.